Kako je kod zatvoren tko ti uopce garantira da poruke nestaju, osim da je ti ne vidis ili tko garantira da je razgovor kriptiran bez back doora? Samo riječ mete?
WhatsApp dodaje podršku za glasovne poruke koje ne
- poruka: 12
- |
- čitano: 3.629
- |
- moderatori:
vincimus
- +/- sve poruke
- ravni prikaz
- starije poruke gore
WhatsApp koristi Signalovo šifriranje, a isto je otvorenog koda.
WhatsApp koristi Signalovo šifriranje, a isto je otvorenog koda.
Kako znati da zatvoreni kod koristi otvoreni kod? Mislim ono wtf?
p.s. tko vjeruje da "oni" cuvaju vasu privatnost na ikakav nacin je ...
Može li podrška za mjutanje pojedinih članova grupa?
WhatsApp koristi Signalovo šifriranje, a isto je otvorenog koda.
Kako znati da zatvoreni kod koristi otvoreni kod? Mislim ono wtf?
p.s. tko vjeruje da "oni" cuvaju vasu privatnost na ikakav nacin je ...
Vjeruješ li Signalu? E pa baš su oni i radili s WhatsApp-om na integraciji njihovog protokola. Točnije, cijeli proces radila je Open Whisper Systems iliti organizacija koja stoji iza Signala (danas Signal Foundation).
WhatsApp koristi Signalovo šifriranje, a isto je otvorenog koda.
Kako znati da zatvoreni kod koristi otvoreni kod? Mislim ono wtf?
p.s. tko vjeruje da "oni" cuvaju vasu privatnost na ikakav nacin je ...
Vjeruješ li Signalu? E pa baš su oni i radili s WhatsApp-om na integraciji njihovog protokola. Točnije, cijeli proces radila je Open Whisper Systems iliti organizacija koja stoji iza Signala (danas Signal Foundation).
I onda su oni to napravili, otisli. I tko zna sta je sad unutra?
p.s. ne vjerujem
U WhatsApp-u imaš opciju provjere jesu li tvoje poruke E2E šifrirane.
U WhatsApp-u imaš opciju provjere jesu li tvoje poruke E2E šifrirane.
I kako provjeris, da je sigurno tako na zatvorenom kodu , vidis "encrypted" oznaku i to je garancija? Ti to ozbiljno?
Cak i kad koristis open source app na nemodificiranom andriodu nemozes garantirati sigurnost je googlovi servisi imaju root access i mogu dohvatiti kljuc. Samo popuni open source os+ services + app daje garancije.
Dekompajliraš je i lijepo vidiš kompletan kod. Previše posla? Onda gledaj sudske presude. WhatsApp je dobio na tisuće zahtjeva od vlasti da preda poruke korisnika. Najpoznatiji je onaj slučaj iz Brazila kada su tamo zbog toga bili blokirani jer vlastima nisu dostavili ništa budući da pristup porukama korisnika nisu imali. Mislim da je čak i do prosvjeda došlo jer se WhatsApp u Brazilu JAKO puno koristi.
Ono što treba imati na umu je da Meta redovito s vlastima dijeli korisničke podatke Facebooka i Instagrama i čak na svojoj stranici objavljuju koliko su zahtjeva odobrili. Ali za WhatsApp mogu podijeliti samo metadata; kad si bio na mreži, koliko si proveo, s kim si komunicirao, ali pristup pozivima, porukama koji si slao–nemaju. Ako se ne varam i pojedine članice EU su tražile poruke, niti jedna nije dobila jer WhatsApp pristup porukama nema.
100% garancije nigdje nema. Ali ni open source ne mora značiti sigurnost. Imaš hrpu slučajeva gdje su open source aplikacije postale ugroza za sigurnost. Neka ti Brave bude pravi primjer kako nitko ne gleda svaki dijelić aplikacije, kada su sakrili kod da za pojedine stranice mijenjaju URL da sadrži njihov referral kod.
Dekompajliraš je i lijepo vidiš kompletan kod. Previše posla? Onda gledaj sudske presude. WhatsApp je dobio na tisuće zahtjeva od vlasti da preda poruke korisnika. Najpoznatiji je onaj slučaj iz Brazila kada su tamo zbog toga bili blokirani jer vlastima nisu dostavili ništa budući da pristup porukama korisnika nisu imali. Mislim da je čak i do prosvjeda došlo jer se WhatsApp u Brazilu JAKO puno koristi.
Ono što treba imati na umu je da Meta redovito s vlastima dijeli korisničke podatke Facebooka i Instagrama i čak na svojoj stranici objavljuju koliko su zahtjeva odobrili. Ali za WhatsApp mogu podijeliti samo metadata; kad si bio na mreži, koliko si proveo, s kim si komunicirao, ali pristup pozivima, porukama koji si slao–nemaju. Ako se ne varam i pojedine članice EU su tražile poruke, niti jedna nije dobila jer WhatsApp pristup porukama nema.
100% garancije nigdje nema. Ali ni open source ne mora značiti sigurnost. Imaš hrpu slučajeva gdje su open source aplikacije postale ugroza za sigurnost. Neka ti Brave bude pravi primjer kako nitko ne gleda svaki dijelić aplikacije, kada su sakrili kod da za pojedine stranice mijenjaju URL da sadrži njihov referral kod.
Ne , dekompajliranjem vidis dio odnosno priblizno mogucu verziju orginalnog koda. Tu dolazimo do compile switcheva, npr optimizacijskih ili do toga da tvrtke koriste compilere koji generiraju kod koji je otezan za decompile. Backdoor rupe koje su namjerno ostavljene cesto je tesko vidjeti i kad imas orginalni kod.npr opensource. Kod decompilea to je nemoguce. Sudski tuziti je nemoguce jer tvrtke mogu tvrditi da su to nenamjerne greske u kodu.
Kod JiT compilera situacija moze biti bolja za decompile , ( ali i ne mora), a kako se npr java najvise koristi na androidu tu sw moze raditi navedeno, ali tu uskacu google sevisi koji imaju root ovlasti i omogucuju nadzor smartphona. Reverse engineeringom mozes doci jasno da servisi mogu potpuno nadzirati tvoj smartphone. Ali ne tocnije od toga kako se to sve moze koristiti. Odgovor googla je da naravno, to je feature preko kojeg recimo ide parental control. Tuzbe su dokazano puhanje u vjetar a nadzor ide.
Dakle, tocno open source nije garancija ali mozes pogledati i naci greske. Primjer je openssl gdje je vjerojatno namjerno ostavljena sigurnosna rupa koja je omogucavala lazno predstavljanje, ala mitm napada bez middle osobe.Ali detaljan review inzenjera poznate tvrtke koja je krenula koristiti openssl je nasao " propuste".
Vjerojatno nije slucajno da je osoba odgovorna za taj dio sw radila za jednu tajnu sluzbu i nije to njen jedini propust . Ali pokazuje da ako zelis biti gotovo 100%( onoliko blizu 100% koliko zelis biti) siguran to je jedini nacin. Tako nije li cudno da drzave uporno preskacu stavljanje obveze da os i servisi moraju biti open source, kako bi garantirali sigurnost gradjana i drzave npr za digitalni id. Preduvjet digitalnog id, banking aplikacija ili svih onih koji razmjenjuju informacije sa drzavom i tvrtkama je open source software i os.
Pozdrav,
U sigurnosti komunikacije postoji ono što se definira kao trokut relacija : Confidentiality, Integrity, Availability.
Po tom možemo vidjeti je li WhatsApp siguran iz te perspektive korisnika pametnog telefona.
Confidentiality: sposobnost da treća strana ne može čitati poruke.
Nije postignuta. Zato što poruke mogu s udaljene lokacije izravno čitati : (Poredano od više pa do niže razine) aplikacija WhatsApp koju ažurira tvrtka Facebook. Operacijski sustav kojeg ažurira Google, Broadband OS, kojeg najčešće ažurira Qualcomm.
Integrity: sposobnost da treća strana ne može mijenjati poruke.
Nije postignuta. Zato jer poruke mogu s udaljene lokacije izravno mijenjati ista ekipa.
Availability: sposobnost da poruke neće biti ometane.
Nije postignuta. Zato jer navedena ekipa može onemogućiti poruke bilo kad.
WhatsApp nije siguran po tim standardima za upotrebu u bilo kakve ozbiljne svrhe. Whatsapp je "toy grade" komunikacijski alat.
Hvala.
Ne , dekompajliranjem vidis dio odnosno priblizno mogucu verziju orginalnog koda. Tu dolazimo do compile switcheva, npr optimizacijskih ili do toga da tvrtke koriste compilere koji generiraju kod koji je otezan za decompile. Backdoor rupe koje su namjerno ostavljene cesto je tesko vidjeti i kad imas orginalni kod.npr opensource. Kod decompilea to je nemoguce. Sudski tuziti je nemoguce jer tvrtke mogu tvrditi da su to nenamjerne greske u kodu.
Backdoor je malo preširok pojam za sve. Backdoor može biti štetan, a može biti i koristan. Može imati ilegalnu upotrebu, a može i legalnu. Primjer ti je backdoor koji omogućuje prisluškivanje ili backdoor koji omogućuje spajanje na uređaj i bit korišten za pomoć. Razlika je.
Do nedavno si tvrdio da je jedini način da tvoja komunikacija bude 100% sigurna je da koristiš open source softver, a sada govoriš da se ni na open source softveru ne može vidjeti ugrađeni backdoor. Realno gledano, svaki kod ima backdoor. On može biti ugrađen namjerno, a može biti ugrađen i sasvim slučajno. Svaki bug koji omogućuje pristup uređaju, pa makar on bio i slučajan je backdoor jer dopušta pristup samom uređaju.
I da, tvrtke se može tužiti i ne, ne mogu se izvući na nenamjerne greške u kodu. To je kao da ja odem u trgovinu, nešto ukradem i pobjegnem i onda se na sudu pravdam kako sam zaboravio platiti proizvod. I tvrke snose odgovornost, te se ne mogu izvlačiti na glupe izjave i primjere.
Kod JiT compilera situacija moze biti bolja za decompile , ( ali i ne mora), a kako se npr java najvise koristi na androidu tu sw moze raditi navedeno, ali tu uskacu google sevisi koji imaju root ovlasti i omogucuju nadzor smartphona. Reverse engineeringom mozes doci jasno da servisi mogu potpuno nadzirati tvoj smartphone. Ali ne tocnije od toga kako se to sve moze koristiti. Odgovor googla je da naravno, to je feature preko kojeg recimo ide parental control. Tuzbe su dokazano puhanje u vjetar a nadzor ide.
Dakle, tocno open source nije garancija ali mozes pogledati i naci greske. Primjer je openssl gdje je vjerojatno namjerno ostavljena sigurnosna rupa koja je omogucavala lazno predstavljanje, ala mitm napada bez middle osobe.Ali detaljan review inzenjera poznate tvrtke koja je krenula koristiti openssl je nasao " propuste".
Vjerojatno nije slucajno da je osoba odgovorna za taj dio sw radila za jednu tajnu sluzbu i nije to njen jedini propust . Ali pokazuje da ako zelis biti gotovo 100%( onoliko blizu 100% koliko zelis biti) siguran to je jedini nacin. Tako nije li cudno da drzave uporno preskacu stavljanje obveze da os i servisi moraju biti open source, kako bi garantirali sigurnost gradjana i drzave npr za digitalni id. Preduvjet digitalnog id, banking aplikacija ili svih onih koji razmjenjuju informacije sa drzavom i tvrtkama je open source software i os.
Hoćeš realno? Jedini način da imaš siguran mobitel bez ikakvog backdoora je da ga nemaš. Zašto to kažem? Ti možeš napravit svoj mobitel, od komponenti vlastite izrade, napravit sam svoj operacijski sustav od nule i može ti se potkrasti greška, te si sasvim slučajno ugradio backdoor u svoj uređaj. Razumiješ? Apsolutne sigurnosti nema ama baš nigdje u ničemu. Ne postoji nešto što se zove apsolutna sigurnost.
Ovdje smo sad već došli do levela paranoje. Čim nekoga hvata tolika paranoja, znači da ili nešto krivo radi ili stvarno nešto nije u njemu.
Pozdrav,
U sigurnosti komunikacije postoji ono što se definira kao trokut relacija : Confidentiality, Integrity, Availability.
Po tom možemo vidjeti je li WhatsApp siguran iz te perspektive korisnika pametnog telefona.
Confidentiality: sposobnost da treća strana ne može čitati poruke.
Nije postignuta. Zato što poruke mogu s udaljene lokacije izravno čitati : (Poredano od više pa do niže razine) aplikacija WhatsApp koju ažurira tvrtka Facebook. Operacijski sustav kojeg ažurira Google, Broadband OS, kojeg najčešće ažurira Qualcomm.
Integrity: sposobnost da treća strana ne može mijenjati poruke.
Nije postignuta. Zato jer poruke mogu s udaljene lokacije izravno mijenjati ista ekipa.
Availability: sposobnost da poruke neće biti ometane.
Nije postignuta. Zato jer navedena ekipa može onemogućiti poruke bilo kad.
WhatsApp nije siguran po tim standardima za upotrebu u bilo kakve ozbiljne svrhe. Whatsapp je "toy grade" komunikacijski alat.
Hvala.
Sve je super i sve pet, samo što niti jedan uređaj niti tehnologija bilo razmjene poruka ili poziva, prema tvojem "trokutu" nije sigurna. Čak i da imaš trostruku E2E, opet prema tvojem "trokutu" to nije sigurno jer su za komunikaciju potrebna dva uređaja i uvijek će drugi uređaj imat pristup poruci koja mu je poslana. Znači ovo je sad žešće pretjerivanje.